运维实例文件-信息安全管理程序9

ITSS服务管理体系文件

信息安全管理程序

修改记录

修改时间版本修改内容简述修改人审核人

目录

信息安全管理手册...................................................3

1范围................................................................3

2规范性引用文件.....................................................4

3术语和定义..........................................................4

3.1本公司...........................................................4

3.2信息系统.........................................................4

3.3计算机病毒.......................................................4

3.4信息安全事件.....................................................4

3.5相关方...........................................................4

4组织环境............................................................4

4.1理解组织及其环境.................................................4

4.2理解相关方的需求和期望...........................................5

4.3确定信息安全管理体系的范围.......................................5

4.4信息安全管理体系................................................5

5领导................................................................7

5.1领导和承诺......................................................7

5.2方针............................................................8

5.3组织角色、职责和权限............................................10

6规划...............................................................11

6.1应对风险和机会的措施...........................................11

6.2信息安全目标和实现规划..........................................12

7支持...............................................................12

7.1资源............................................................12

7.2能力............................................................12

7.3意识............................................................13

7.4沟通............................................................13

7.5文件化信息......................................................13

8运行...............................................................14

8.1运行规划和控制..................................................14

8.2信息安全风险评估...............................................15

8.3信息安全风险处置...............................................15

9绩效评价...........................................................15

10改进................................................................17

10.1.1不符合和纠正措施..............................................17

10.1.2持续改进......................................................17

附录A：信息安全管理组织结构图......................错误!未定义书签。

附录B：信息安全职责分配表..........................错误味定义书签。

附录C：信息安全管理职责表..........................................0

附录D：信息安全管理程序文件清单....................错误味定义书签。

信息安全管理手册

1范围

从组织环境的角度考虑，为建立、实施、运行、监视、评审、保

持和改进文件化的信息安全管理体系（简称ISMS）,确定信息安全方

针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照

执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,

特制定本手册。

本信息安全管理手册从组织环境的角度规定了A公司信息安全管

理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改

进等方面内容。

本信息安全管理手册适用于：与企业应用管理软件开发相关的信

息安全管理活动。本信息安全管理手册采用了IS027001:2013标准正

文的全部内容，其中对标准规范附录A的删减见《适用性声明SOA》。

2规范性引用文件

下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全

管理手册》的条款。凡是标注日期的引用文件，其随后所有的修改单或修订版均

不适用于本标准，然而，相关部门应研究是否可使用这些文件的最新版本。凡是

不注日期的引用文件、其最新版本适用于本信息安全管理手册。

ISO/TEC27000《信息技术-安全技术-信息安全管理体系-概述和词汇》

IS0/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》

IS0/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》

3术语和定义

ISO/IEC27000《信息技术-安全技术-信息安全管理体系-概述和词汇》

中规定的术语和定义适用于本《信息安全管理手册》0

3.1本公司

指A公司。

3.2信息系统

指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定

的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.3计算机病毒

指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算

机使用，并能自我复制的一组计算机指令或者程序代码。

3.4信息安全事件

指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信

息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系

统的破坏窃密事件。

3.5相关方

关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主

要为：政府、上级部门、供方、用户等。

4组织环境

4.1理解组织及其环境

组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力

的外部和内部问题

注：确定这些问题涉及到建立组织的外部和内部环境。

4.2理解相关方的需求和期望

组织应确定：

与信息安全管理体系有关的相关方；

这些相关方与信息安全有关的要求。

注：相关方的要求可能包括法律法规要求和合同义务。

4.3确定信息安全管理体系的范围

本公司根据组织环境、内外部面临的问题、相关方的需求和期望、组织所执

行的活动之间以及与其它组织的活动之间的接口和依赖性定义了信息安全管理

体系的边界和适用性，本公司信息安全管理体系的范围包括：

a）与环境监控软件（开发）相关的信息安全管理活动

b）与所述活动相关的信息系统；

c）与所述活动相关的各部门（包括人力行政部、市场部，技术部）的所有

员工；

d）所述活动、系统及支特性系统包含的全部信息资产（不在体系覆盖范围

内的相关部门，以公司内部相关方形式出现）。

组织范围：

本公司信息安全管理体系适用的组织范围，见附录A（规范性附录）《组织

机构图》。

物理范围：

本公司信息安全管理体系的物理范围安全边界详见附录B（规范性附录）《办

公区域平面图》。

4.4信息安全管理体系

本公司在日常经营管理活动中，按ISO/IEC27001:2013《信息技术-安全技

术-信息安全管理体系-要求》规定，建立、实施、保持和持续改进信息安全管理

体系。

信息安全管理体系使用的过程基于图1所示的PDCA模型。

本公司信息安全管理体系文件包括:

a）文件化的信息安全方针、控制目标，在《信息安全管理手册》中描述；

b）《信息安全管理手册》（本手册，包括信息安全适用范围及引用的标准）；

c）本手册要求的《信息安全风险识别与评价管理程序》、《业务持续性管

理程序》、《纠正预防措施管理程序》等支持性程序；

d）信息安全管理体系引用的支持性程序。如：《文件管理程序》、《记录

管理程序》、《内部审核管理程序》等；

e）为确保有效策划、运作和控制信息安全过程所制定的义件化操作程序；

f）《风险评估报告》、《风险处理计划》以及信息安全管理体系要求的记录

类文件；

g）相关的法律、法规和信息安全标准；

h）适用性声明（SOA）o

4.4.2文件控制

人力行政部组织制定并实施《文件管理程序》，对信息安全管理体系所要求

的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书

和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、

批准、标识、发放、使用、修订、作废、回收等管理工作做出规定，以确保在使

用场所能够及时获得适用文件的有效版木。

文件控制应保证：

a）文件发布前得到批准，以确保文件是充分的；

b）当文件实施更改时，对文件进行评审、更新并再次批准；

c）确保文件的更改和现行修订状态得到识别；

d）确保在使用时，可获得相关文件的最新版本；

e）确保文件保持清晰、易于识别；

f）确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、

存储和最终的销毁；

g）确保外来文件（指与公司经营有关的一切外部文件）得到识别；

h）确保文件的分发得到控制；

i）防止作废文件的非预期使用；

j）若因任何目的需保留作废文件时，应对其进行适当的标识。

4.4.3记录控制

信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。人

力行政部负责组织制定并维持易读、易识别、可方便检索又考虑法律、法规要求

的《记录管理程序》，规定记录的标识、储存、保护、检索、保管、废弃等事项。

信息安全管理体系的记录应包括本手册第4.2条中所列出的所有过程的结

果及与ISMS相关的安全事件（事故）的记录。

各部门应根据《记录管理程序》的要求采取适当的方式妥善保管信息安全记

录。

5领导

5.1领导和承诺

高层管理者应通过以下方式展示其关于信息安全管理体系的领导力和承诺:

a）建立信息安全方针和信息安全目标（见本手册第04章）；

b）确保将信息安全管理体系要求整合到组织的业务过程中；

c）确保信息安全管理体系所需资源可用（见本手册第7.1章）；

d）传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；

e）确保信息安全管理体系实现其预期结果；

f）指挥并支持人员为信息安全管理体系的有效实施做出贡献；

g）促进持续改进；

h）支持其他相关角色在其职责范围内展示他们的领导力。

5.2方针

为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和

客户的损失，本公司建立了信息安全管理体系，制订了信息安全方针，确定了信

息安全目标。

信息安全管理方针：

顾客至上，安全第一；科学预防，全员参与；遵守法规，持续改进

本公司信息安全管理策略包括内容如下：

一、信息安全管理机制

公司采用系统的方法，按照ISO/IEC27001:2013建立信息安全管理体系，

全面保护本公司的信息安全。

二、信息安全管理组织

1.公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信

息安全要求，提供信息安全资源。

2.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理

体系，保证信息安全管理体系的持续适宜性和有效性。

3.在公司内部建立信息安全组织机构，信息安全管理委员会，保证信息安

全管理体系的有效运行。

4.与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安

全要求和发展动态，获得对信息安全管理的支持。

三、人员安全

1.信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职

责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定

特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。

2.对本公司的相关方，要明确安全要求和安全职责。

3.定期对全体员工进行信息安全相关教育，包括：技能、职责和意识，以

提高安全意识。

4.全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全

措施。

四、识别法律、法规、合同中的安全

及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施,

保证满足安全要求。

五、风险评估

1.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，

确定风险接受准则。

2.采用先进的风险评估技术，定期进行风险评估，以识别本公司风险的变

化。本公司或环境发生重大变化时，随时评估。

3.应根据风险评估的结果，采取相应措施，降低风险。

六、报告安全事件

1.公司建立报告信息安全事件的渠道和相应的主管部门。

2.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现

信息安全事件，应立即按照规定的途径进行报告。

3.接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处

理，并向报告人员反馈处理结果。

七、监督检查

定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查、

内部审核、管理评审等。

每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有

效性进行评价，必要时进行修订。

八、业务持续性

1.公司根据风险评估的结果，建立业务持续性计划，抵消信息系统的中断

造成的影响，防止关键业务过:程受严重的信息系统故障或者灾难的影响，并确

保能够及时恢复。

2.定期对业务持续性计划进行测试和更新。

九、违反信息安全要求的惩罚

对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。

信息安全目标如下：

公司总体重大信息安全事件（事故）为零，各部门信息安全目标如下:

需达

部

目标要的资负责人到时评价方法

门

源间

每个季度收集相

技软件数据，技术

部门经关的安全事件并汇总，

术资料泄露或遗失类无个季

理与目标比较看是否达

部安全事件为零度

到目标

每个季度收集相

人人力资源泄密关的安全事件并汇总，

无部门经理个季

力安全事件为零与目标比较看是否达

度

行到目标

政各类信息设施每个季度计算可

部门经

部的可用性达到90%以无个季用性，与目标比较看是

理

I-.度否达到目标

客户数据泄露、

部门经每个季度收集相

遗失类安全事件为无个季

市理关的安全事件并汇总

零。度

场

每年收集客户投

部每年客户投诉部门经年

无诉数据并汇总，与目标

不得多于3次理末

比较看是否达到目标

5.3组织角色、职责和权限

本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。

无论信息安全管理者代表在其他方面的职责如何，对信息安全负有以下职责:

a）建立并实施信息安全管理体系必要的程序并维持其有效运行；

b）对信息安全管理体系的运行情况向总经理报告。

c）对各部门的信息安全管理体系的运行情况在公司内部进行通告。

各部门负责人为本部门信息安全管理责任者，全体员工都应按信息安全管理

体系的要求自觉履行信息安全义务；

各部门、人员有关信息安全职责分配见附录C（规范性附录）《信息安全管

理职责明细表》和相应的程序文件。

6规划

6.1应对风险和机会的措施

6.L1总则

当规划信息安全管理体系时，要考虑公司面临的内外部问题、相关方的要求

和期望，确定需要应对的风险和机会。

a）确保信息安全管理体系能实现其预期效果；

b）防止或减少意外的影响；

c）实现持续改进。

组织应规划：

d）应对这些风险和机会的措施；

e）如何

1）整合和实施这些措施并将其纳入信息安全管理体系过程；

2）评价这些措施的有效性。

6.1.2信息安全风险评估

相关部门负责组织制定《信息安全风险识别与评价管理程序》，建立识别适

用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估

方法，建立接受风险的准则并设别风险的可接受等级。信息安全风险评估依据《信

息安全风险识别与评价管理程序》进行，以保证所选择的风险评估方法应确保风

险评估能产生可比较的和可重复的结果。

1）识别风险

在己确定的信息安全管理体系范围内，本公司按《信息安全风险识别与评价

管理程序》识别与信息保密性、完整性和可用性损失有关的风险，并确定每个风

险的负责人。

2）分析和评价风险

本公司按《信息安全风险识别与评价管理程序》规定，分析风险发生的可能

性和可能导致的潜在后果，并计算风险等级。根据风险接受准则，判断风险为可

接受或需要处理。

6.1.3信息安全风险处置

组织相关部门根据风险评估的结果，对风险进行处置，确定风险控制措施。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措

施：

a）控制风险，采用适当的内部控制措施；

b）接受风险（不可能将所有风险降低为零，但可控制到可接受范围内）；

c）避免风险（如物理隔离）；

d）转移风险（如将风险转移给保险者、供方、分包商）C

控制措施的选择原则来源于IS027001:2013《信息技术-安全技术-信息安全

管理体系-要求》附录A。本公司根据信息安全管理的需要，可以选择标准之外

的其他控制措施。对风险处置计划要得到风险负责人的批准，风险处置后的剩余

风险，也要得到风险责任人的批准。

相关部门负责组织编制《信息安全适用性声明》（SOA）o该声明包括以下

方面的内容：

a）所选择控制目标与控制措施的概要描述，以及选择的原因；

b）对1SO27OO1:2O13附录A中未选用的控制目标及控制措施理由的说明。

6.2信息安全目标和实现规划

公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标，

并在全公司发布，参见信息安全方针目标文件。

7支持

7.1资源

本公司确定并提供建立、实施、保持和持续改进信息安全管理体系所需资源。

7.2能力

公司相关部门组织制定并实施《人力资源管理程序》文件，达到以下要求:

a）确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要

能力；

b）确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;

c）适用时，采取措瓶以获得必要的能力，并评估所采取措施的有效性；

d）保留适当的文件化信息作为能力的证据。

注：适用的措施可包括，例如针对现有雇员提供培训、指导或重新分配；雇

佣或签约有能力的人员。

7.3意识

公司通过培训、教训等措施，保证工作人员了解：

a）信息安全方针；

b）其对信息安全管理体系有效性的贡献，包括改进信息安全绩效带来

的益处；

c）不符合信息安全管理体系要求带来的影响。

7.4沟通

公司制定了信息安全沟通管理程序，明确了信息安全管理体系相关的内部和

外部的沟通需求，包括：

a）沟通内容；

b）沟通时间；

c）沟通对象；

d）谁应负责沟通；

e）影响沟通的过程。

7.5文件化信息

7.5.1总则

本公司信息安全管理体系文件包括：

a）文件化的信息安全方针目标；

b）《信息安全管理手册》（本手册，包括信息安全适用范闱及引用的标准）：

c）本手册要求的《信息安全风险识别与评价管理程序》、《业务持续性管

理程序》、《纠正预防措施管理程序》等支持性程序；

d）信息安全管理体系引用的支持性程序。如：《文件管理程序》、《记录

管理程序》、《内部审核管理程序》等；

e）为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；

f）《风险评估报告》、《风险处理计划》以及信息安全管理体系要求的记录

类文件；

g）相关的法律、法规和信息安全标准;

h）适用性声明（SOA）o

7.5.2创建和更新

公司相关部门制定并实施《文件管理程序》，创建和更新文件化信息时，应

确保适当的：

a）标识和描述（例如标题、日期、作者或编号）；

b）格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）；

c）对适宜性和充分性的评审和批准。

7.5.3文件化信息的控制

公司相关部门制定并实施《文件管理程序》，对信息安全管理体系所要求的

文件进行控制。对《信息安全管理手册》、程序文件、管理规定、作业指导书和

为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、

批准、标识、发放、使用、修订、作废、回收等管理工作做出规定，以确保在使

用场所能够及时获得适用文件的有效版本。

文件化信息控制应确保：

a）在需要的地点和时间，是可用和适宜的；

b）得到充分的保护（如避免保密性损失、不恰当使生、完整性损失等）。

为控制文件化信息，适用时，组织应开展以下活动：

c）分发，访问，检索和使用；

d）存储和保护，包括保持可读性；

e）控制变更（例如版本控制）；

f）保留和处置。

组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息，应

得到适当的识别，并予以控制。

注：访问隐含着允许仅浏览文件化信息，或允许和授权浏览及更改文件化信

息等决定。

8运行

8.1运行规划和控制

公司应针对满足信息安全要求及实施确定的控制措施制定相关的程序和规

章制度，所需的过程予以规划、实施和控制。组织也应实施计划以实现6.2中确

定的信息安全目标。

公司应详细记录信息安全管理体系运行过程中的各种信息数据，以确保信息

安全管理体系是否正在按照计划有效运行。

当公司信息安全方针、目标、工作计划和程序、控制措施等发生变更时，应

进行管理。计划的变更要按照计划进行控制；非预期的变更要评审变更的影响,

确保变更没有负面的影响，必要时采取措施减轻负面影响.

公司目前没有外包过程。

8.2信息安全风险评估

相关部门按照6.1.2章的风险接受准则和风险评估方法，每年至少进行一次

风险评估，并产出风险评估报告。当重大变更提出或发生时，也需要执行信息安

全风险评估。

8.3信息安全风险处置

相关部门按照6.1.3章的信息安全风险处置计划进行实施，并按照风险接受

准则评价实施效果，对风险处理后的残余风险，得到风险负责人的批准。

9绩效评价

本公司通过实施不定期安全检杳、内部审核、事故（事件）报告调杳处理、

电子监控、定期技术检查等控制措施并报告结果以实现：

a）及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；

b）及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类

攻击；

c）使管理者确认人工或自动执行的安全活动达到预期的结果；

d）使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；

e）积累信息安全方面的经验；

根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至

少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、

目标的符合性及控制措施有效性的评审，考虑安全审核、事件、有效性测量的结

果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第9.3章。

组织应记录可能对信息安全管理体系有效性或业绩有影响的活动和事情，并

进行分析，分析结果上报管理者代表。

组织应建立并实施《内部审核管理程序》，《内部审核管理程序》应包括策

划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进

行内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是

否：

a）符合本标准的要求;

b）组织自身对信息安全管理体系的要求；

C）得到有效地实施和保持

应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方

案进行策划。应编制内审年度计划，确定审核的准则、范围、频次和方法。

每次审核前，内审组长应策划编制内审计划，确定审核的准则、范围、日程

和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核

员不应审核自己的工作。

应按审核计划的要求实施审核，包括：

a）进行首次会议，明确审核的目的和范围，采用的方法和程序；

b）实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流；

c）进行对检查内容进行分析，召开内审小组首次会议、末次会议，宣布审

核意见和不符合报告；

d）审核组长编制审核报告。

对审核中提出的不符合项报告，责任部门应编制纠正措施，由人力行政部组

织对受审部门的纠正措施的实施情况进行跟踪、验证；

按照《记录管理程序》的要求，保存审核记录。

内部审核报告，应作为管理评审的输入之一。

总经理为确认信息安全管理体系的适宜性、充分性和有效性，每年对信息安

全管理体系进行一次评审。该管理评审应包括对信息安全管理体系是否需改进或

变更的评价，以及对安全方针、安全目标的评价。管理评审的结果应形成书面记

录。

在管理评审时，管理者代表应组织相关部门提供以下资料，供最高责任者和

信息安全委员会进行评审：

a）以往管理评审要求采取措施的状态；

b）与信息安全管理体系相关的外部和内部情况的变化；

c）信息安全绩效有关的反馈，包括以下方面的趋势：

1）不符合和纠正措施；

2）监视和测量结果；

3）审核结果；

4）信息安全目标完成情况；

d）相关方反馈；

e）风险评估结果及风险处置计划的状态；

f）持续改进的机会。

管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系

的任何需求。

10改进

10.1.1不符合和纠正措施

组织应建立并实施《纠正预防措施管理程序》，当发生不符合时，组织应:

a）对不符合做出反应，适用时：

1）采取措施控制并纠正不符合；

2）处理后果；

b）通过以下方法，评价采取消除不符合原因的措施的需求，防止不符

合再发生，或在其他地方发生：

1）评审不符合；

2）确定不符合的原因；

3）确定类似的不符合是否存在，或可能发生；

c）实施需要的措施；

d）评审所采取的纠正措施的有效性；

e）必要时，对信息安全管理体系进行变更。

纠正措施应与所遇到的不符合的影响程度相适应。

10.1.2持续改进

组织应持续改进信息安全